VCLVibe Coding LabИИ в работе — без VPN
Подписаться
НейросетиНовостиСтатус нейросетейДоступ из РФ
РАЗДЕЛЫ
ТуториалыАвтоматизацииИнструментыВайбкодинг
БИБЛИОТЕКИ
ПромптыШаблоныMCP-серверыГлоссарийПодписаться в Telegram
ГлавнаяНовостиCursor IDE: уязвимости DuneSlide позволяли выйти за пределы песочницы через prompt injection
НовостьНовостьCursor

Cursor IDE: уязвимости DuneSlide позволяли выйти за пределы песочницы через prompt injection

VCL
Редакция
Vibe Coding Lab
2 июля 2026обновлено 02.07
3 мин чтения
КОРОТКО

Исследователи Cato Networks нашли две уязвимости в Cursor IDE (CVE-2026-50548 и CVE-2026-50549), получившие название DuneSlide. Через prompt injection атакующий мог вырваться из песочницы и выполнить произвольный код. Патч вышел в Cursor 3.0 в апреле 2025 года. Cato сообщает, что аналогичные проблемы есть и в других популярных AI-агентах для кодинга.

Исследователи из Cato Networks опубликовали детали двух уязвимостей в Cursor IDE, которые в связке позволяли злоумышленнику выполнить код на машине жертвы - без каких-либо предварительных привилегий и практически без участия пользователя.

Что за уязвимости и как они работают

Уязвимости отслеживаются под номерами CVE-2026-50548 и CVE-2026-50549, а в совокупности Cato назвала их DuneSlide.

Cursor ограничивает действия своего AI-агента через так называемый command execution sandbox - по умолчанию агент может писать файлы только в директорию текущего проекта. Именно этот барьер исследователи и обошли двумя разными способами.

Первый способ: инструмент run_terminal_cmd принимает параметр working_directory, который позволяет программно переопределить рабочую директорию. Через prompt injection атакующий мог подставить туда путь за пределами проекта - и, например, перезаписать сам исполняемый файл cursorsandbox, добавить вредоносный скрипт в конфиг шелла или положить что-нибудь в ~/Library/LaunchAgents на macOS.

Второй способ: агент мог создать символическую ссылку (symlink) внутри проекта, указывающую на файл снаружи. Логика проверки путей в Cursor содержала опасный fallback: если канонизация пути не удавалась (например, путь не существует или нет прав на чтение одной из директорий), Cursor использовал исходный путь symlink-а без проверки. Этого было достаточно, чтобы выйти за границы песочницы.

Как запускается атака

Эксплойт срабатывает, когда пользователь делает обычный запрос к агенту, а тот при этом обрабатывает данные из ненадёжного источника - например, результаты веб-поиска или ответ MCP-сервера, которые содержат спрятанный payload.

Цитата из отчёта Cato Networks:

«Эксплойт не требует предварительных привилегий или конкретных действий со стороны пользователя. Он срабатывает, когда жертва делает безобидный запрос, который случайно обрабатывает payload под контролем злоумышленника - из ненадёжного источника, например MCP-сервера или результата веб-поиска».

Патч и контекст вокруг Cursor

Обе уязвимости закрыты в Cursor версии 3.0, которая вышла в апреле 2025 года.

Cursor - один из самых популярных AI-ассистентов для разработки в корпоративном сегменте. Недавно компанию приобрела SpaceX в рамках сделки на $60 млрд акциями.

Почему это шире, чем один продукт

Cato прямо говорит: Cursor здесь не исключение. Cato AI Labs находится в процессе ответственного раскрытия уязвимостей во всех популярных AI-агентах для кодинга.

«Если бы это были единичные случаи компрометации через prompt injection, мы могли бы списать их на специфические уязвимости конкретного продукта», - пишут исследователи. - «Но это системная проблема, требующая системного подхода к защите».

LLM-модели по своей природе уязвимы к вредоносным инструкциям, спрятанным в обрабатываемых данных. Чем больше у агента инструментов - браузер, API, доступ к файловой системе, - тем шире поверхность атаки.

Защита строится в несколько слоёв: guardrails в самой модели, системные промпты с запретами, supervisor-модели, keyword-фильтрация, гранулярные права доступа, подтверждение чувствительных операций человеком. Но ни один из этих механизмов не даёт гарантий сам по себе.

Что это значит

Если ты используешь Cursor - обнови до версии 3.0 или выше, если ещё не сделал этого.

Если ты продакт или инженер, который внедряет AI-агентов в рабочие процессы: история с DuneSlide наглядно показывает, что sandbox - необходимый, но недостаточный контроль. Агент, который может ходить в интернет или принимать данные из внешних MCP-серверов, потенциально несёт в себе вектор атаки через сами данные, которые он обрабатывает.

Cato обещает раскрыть аналогичные проблемы в других популярных coding-агентах - стоит следить за их публикациями.


Источник: CSO Online, 2 июля 2025

Csoonline · 2 июля
Свежие новости — в Telegram
Главное за день — коротко, без воды.
Подписаться